Sécurité

                            
Un article de Communauté GID.
Version du 13 juin 2019 à 23:45 par AMGHAR (Discuter | Contributions)
(diff) ← Version précédente | Voir la version courante (diff) | Version suivante → (diff)

Système de Gestion Intégrée de la Dépense
Assistance des utilisateurs
Guide de la sécurité sur le système GID

Consulter une version html ici- >
Commenter ce guide utilisateur ici ->

Sommaire

Sécurité du système GID, une exigence stratégique

La sécurité du système GID se renforce par le déploiement du mécanisme d’authentification supplémentaire par certificat électronique. Avec la généralisation de l’authentification par certificat SSL à tous les utilisateurs du système GID, un nouveau jalon de la politique de sécurité adoptée sera franchi au 1er juillet 2010.

Ce jalon consiste en l’obligation d’utiliser un certificat SSL qui correspond à une clé numérique, stockée dans un fichier électronique, directement téléchargeable depuis le site GID. Ce certificat est considéré par le système comme une carte d’identité numérique qui est délivrée à titre individuel à chaque utilisateur de façon à vérifier son identité en corrélation avec son login. L'objectif est d'assurer une authentification forte : une authentification par Login/mot de passe (identifiant l’utilisateur en tant que personne) couplée à une authentification par certificat SSL (authentifiant le poste utilisateur).

L'utilisation de l’authentification par certificat SSL devient obligatoire pour tous les utilisateurs du système GID à partir de fin juin 2010. Aussi, les référents GID au niveau de tout le réseau de la trésorerie générale du royaume se mobilisent pour réussir cette mission de déploiement du certificat SSL en accompagnant les utilisateurs dans la procédure d'installation de ce certificat.

Le certificat SSL est renouvelé tous les ans avec un message d’avertissement qui s’affiche préalablement sur le système au moment de la connexion pour avertir de son expiration imminente et de la nécessité de son renouvellement.

La sécurité du système GID constituant une exigence stratégique, la définition d’une politique de sécurité et la mise en place des jalons définis a donc constitué un des chantiers prioritaires ayant démarré en concomitance avec le démarrage des travaux de développement du système GID. Conscient des enjeux de sécurité inhérent à la mise en place d’un système de gestion de l’exécution du budget de l’Etat, et en accompagnement aux actions de dématérialisation des procédures et actes de la dépense publique, des jalons ont été définis pour opérationnaliser la mise en place de la politique de sécurité adoptée.

alt=rex

Politique de sécurité

La politique de sécurité adoptée pour le système GID permet d'assurer une protection optimale sur les axes de disponibilité, d'intégrité, de confidentialité et de traçabilité. Les premiers jalons de sécurité concernent la mise en place de l’ensemble des moyens permettant de :

  • Garantir la robustesse du système avec la capacité de supporter plus de 10 000 utilisateurs dont 1000 en connexion simultanée avec un temps de réponse de 5 secondes en moyenne ;
  • Garantir une disponibilité de 99.99 % avec un site de secours éloigné, des équipements et des lignes Télécoms redondants, ainsi qu’un processus de sauvegarde et de restauration des données éprouvé.
  • Garantir la sécurité du système contre les intrusions, moyennant la mise en place d’une infrastructure de sécurité éprouvée, le déploiement de l’authentification forte (certificat électronique pour chaque utilisateur), le chiffrement du trafic sur le réseau et un dispositif de surveillance avec contrôle d’accès aux salles systèmes dédiées.Texte italique

A l’instar des règles de sécurité permettant de garantir la confidentialité du login et mot de passe, les mêmes règles doivent être respectées pour préserver la confidentialité du code SSL (voir encadré en rappel).

Par ailleurs, des audits de sécurité sont programmés à intervalle régulier de façon à certifier la sécurité du Système d’information GID en se basant sur les bonnes pratiques de sécurité et le référentiel ISO 27001.

Règles de sécurité à respecter

Le Certificat SSL est personnel et confidentiel

L'authentification par certificat SSL (Secure Sockets Layer) est une authentification utilisant les moyens cryptographiques, c'est-à-dire une « clé numérique » dans une « serrure numérique ». C'est un procédé de sécurisation des transactions effectuées sur le système GID.

Le fichier certificat SSL d'un utilisateur est personnel et confidentiel. Il est associé à son compte utilisateur GID. Chaque fois qu'un utilisateur change de poste de travail, il doit réinstaller le certificat SSL afin que le serveur du système GID puisse identifier l'ordinateur utilisé.

Les règles de sécurité à respecter sont:

  • Ra : Chaque compte GID est associé à un unique utilisateur. Votre compte GID vous identifie sur le système GID ainsi que les actions que vous y effectuez.
  • Rb : Votre mot de passe est personnel. Il ne doit en aucun cas être donné à une autre personne, y compris lors des demandes d'assistance.
  • Rc : Un mot de passe doit contenir des caractères alphanumériques (= des chiffres et des lettres ex: flbiuyjh25845) et avoir une taille supérieure à 8 caractères au minimum.
  • Rd : Votre code SSL est associé à votre compte utilisateur et à l’ordinateur utilisé pour vous connecté au système GID.

PS : Le code du certificat SSL est un « code confidentiel» qui est remis à l'utilisateur par courrier fermé. Ce code permet d'installer le certificat SSL dont la procédure d'installation est téléchargeable à partir du système GID rubrique "Profil".

En savoir Plus

Récupérée de « http://wiki.gid.gov.ma/mediawiki/index.php/S%C3%A9curit%C3%A9 »
GID-Fournisseur
ÉTABLISSEMENTS PUBLIQUES
Outils personnels